برچسب: هک

توروالدز و آزاد بودن لینوکس

اخبار

Host Chris Anderson interviews Linus Torvalds at TED2016 - Dream, February 15-19, 2016, Vancouver Convention Center, Vancouver, Canada. Photo: Bret Hartman / TED — Host Chris Anderson interviews Linus Torvalds at TED2016 – Dream, February 15-19, 2016, Vancouver Convention Center, Vancouver, Canada. Photo: Bret Hartman / TED

توروالدز و دعواش در مورد آزاد بودن یا نبودن و دلایل نرم افزار آزاد اعلام کردن لینوکس همیشه مورد بحث بوده [کمی توضیحات خودم]. حالا توی یک گفتگوی تد،توروالدز بحث رو بیشتر باز کرده. حالا در بیست و پنج سالگی لینوکس، اون می گه «من لینوکس رو شروع نکردم که یک پروژه جمعی بشه. من فقط برای خودم شروعش کردم. در نهایت برای من لذت بردن از برنامه نویسی مهم بود و لینوکس رو عمومی کردم بدون اینکه واقعا بخوام از فواید بازمتن بودن استفاده کنم. من فقط می‌خواستم نظرات مردم در مورد کارم برو ببینم و بشنوم». توروالدز این سال ها هم حاضر نشده لایسنس های آزادتر (از نظر فلسفی) رو بپذیره و روی همون جی پی ال ۲ مونده. اون توی همین مصاحبه می گه «آدم های دیگه رو چندان دوست ندارم اما آدم هایی که روی پروژه ام کار می کنن رو دوست دارم» و البته اضافه هم می کنه که «چیزی که در مورد باز متن دوست دارم اینه که اجازه می ده آدم ها با هم روی یک کد کار کنن؛ حتی وقتی که همدیگه رو دوست ندارم. و گاهی ما واقعا از همدیگه خوشمون نمی یاد».

دیپ گرام؛ سرچ اینجینی برای صحبت ها

deepgram
وقتی از استارتاپ حرف می‌زنیم نباید فقط به دلیوری فکر کنیم! مثلا تفکر بچه های دیپ گرام که بخشی از وای کامبینیتور هستن این بود که اینترنت داره از یک دنیای متنی به یک دنیای صوتی تصویری تغییر شکل می ده و گوگل، بینگ و بقیه هنوز براش آماده نیستن.. اونها یک موتور جستجو درست کردن که به سرعت می تونه توی فایل های صوتی و تصویری رو نگاه کنه و الگوی کلمات رو بشناسه و صحبت های داخل صداها رو تشخیص بده. اینکار علاوه بر اینکه برای زیرنویس کردن قابل استفاده است، یک سرچ اینجینی روی نقل قول های شفاهی هم درست می کنه. سیستم بایک سیستم یادگیری عمیق (دیپ لرنینگ) کار می کنه [ کمی توضیحات خودم ]. این سیستم در حال حاضر رایگانه و اجازه می ده تا ۴۰ ساعت صدا و تصویر توش آپلود و ایندکس کنین و اگر از من می شنوین چیزی است که تو ایران کاملا بی معنی شده: دانش بنیان… البته کلیت این واژه بی معنیه چون هر چیزی مبتنی بر دانش است و در جهان هم به جای ساختن این اصطلاح ها، فضایی درست می کنن که این شرکت ها بتونن رشد کنن. تعجب نکنین اگر تو همین رادیو گیک گفتیم دیپ گرام فلان میلیون دلار توسط گوگل یا مایکروسافت یا فیسبوک خریداری شده.

هک لینوکس مینت و سرقت ۷۱هزار اکانت و کارگذاشتن بدافزار در ایزو

چی شد؟ همه خبر رو گفتم دیگه عملا (: لینوکس مینت یک توزیع بسیار محبوب لینوکس است. خبر می گه به خاطر اشتباه مدیر سیستم سروری که سایت لینوکس مینت روی اون قرار داره، هکرها تونستن داخلش بشن و مستقل از سرقت اطلاعات کاربران فروم، یک کار خیلی جالب بکنن: جابجا کردن فایل ایزوی لینوکس مینت با یک نسخه ایزو که یک درعقبی هم توش کار گذاشته شده! البته در عمل فقط لینک رو عوض کردن به ایزوی دستکاری شده ولی در نهایت فرق خاصی نمی کنه دیگه. نکته عجیب اینه ک هکر کل اطلاعات فروم رو به قیمت ۰.۱۹ سنت بیت کوین برای دانلود گذاشته یعنی از هر دانلود در این لحظه تقریبا ۸۵ گیرش می یاد. هکر به زد دی نت گفته که «من لنگ ۸۵ دلار بودم» و خب احتمالا در جای دیگه یک بات نت بزرگ با کلی کامپیوتر لینوکس مینت هم برای اجاره قرار داره. نکته اینه که چک کردن ام دی فایو بعد از دانلود می تونست کل این مشکل رو حل کنه.

علی هم برامون از مایکروسافت گفته که ظاهرا در هر شماره می گیم دیگه هر چیزی رو هم اوپن سورس کنه خبرش رو نمی گیم چون هر شماره همینه ولی هر شماره یک آسی رو اوپن سورس می کنه که ….
جادی جان باتوجه به اینکه من یه برنامه‌نویس دات‌نِتی هستم ( با گذشته PHP و Python و … ) یسری اخبار درباره مایکروسافت بود که به نظرم شاید بد نباشه یه نیم نگاهی بهش داشته باشی.

همونطوری که می‌دونی یا شاید شنیدی؛ مایکروسافت سال پیش Net framework رو بصورت اوپن سورس روی Github قرار داد، پروژه‌ای که الان Contrubuterهای مختلفی خارج از مایکروسافت داره و به خوبی روی لینوکس، مک و ویندوز اجرا میشه و از همه مهمتر اینکه Net framework رو با لایسنس M.I.T منتشر کرد …

Visual Studio Code رو بصورت رایگان و متن‌باز و چند سکویی ارائه داد که خیلی خصوصیات خوب VIM، Sublime، ATOM , … داره.

توزیع لینوکس خودش رو برای سوییچ یا روتر ها تهیه کرد

جدیداً هم اعلام کرده که SQL Server برای لینوکس در حال تولید داره و تا میانه‌های 2017 ارائه میشه.

نمیدونم خبر داری یا نه؟ اما حدوداً 20 روز پیش خبر رسمی خرید شرکت Xamarin توسط مایکروسافت تایید شد. شاید بهترین خبر برای جامعه دات‌نت کارها و بقیه برنامه‌نویس‌ها باشه، زامارین ابزار قوی برای توسعه چند سکویی برنامه‌های موبایل بصورت Native که نمونه مشابه نداره .

مشکل بزرگ زامارین این بود که خیلی گرون بود! با توجه به کارهای اخیر مایکروسافت احتمال خیلی زیاد بعید نیست که زامارین رو بصورت رایگان روی Visual Studio Community ( ویژوال استودیو رایگان مایکروسافت که در حد نسخه Professional هست ) ارائه بده که شاید بتونه بازار ضعیف برنامه‌های ویندوز فون رو پر کنه …
به حدی خرید زامارین برای مایکروسافت مهم بود که پروژه Astoria که پل اجرای برنامه‌های اندروید روی ویندوز 10 بود رو کنسل کرد.

زنده باد دات نت، زنده باد سی شارپ، زنده باد متن باز

ناامنی اندروید و اپل، هر دو!

hacked

hacked2

در حوزه اندروید اکسپلویت استارگیت نشون داده شده؛ یعنی در واقع دوباره ظاهر شد و اینبار به هکرهای اجازه می ده با هدایت کردن کاربر به سمت یک صفحه آلوده تلفنش رو آلوده کنن. محقق های به اصطلاح اسراییلی نتایج کارشون رو کاملا به شکل پی دی اف منتشر کردن که اتفاقا اطلاعات بیشتر از حد معمولی هم می ده. اونها یک فیلم هم از شیوه کار منتشر کردن. استارگیت یک کتابخونه سی پلاس پلاس است که برای نمایش فایل های مالتی مدیا نوشته شده اما ظاهرا مشکلات زیادی داره. کافیه اول به قربانی بگین به سراغ صفحه ای بره که فایلی توش در حال پخشه. این فایل باعث کرش کردن مدیا سرور می شه. در مرحله دوم مدیا سرور بالا می یاد و دوباره صفحه رو لود می کنه و یک جاوااسکریپت به سرور خبر میده که دستگاه چیه و سرور هم یک فایل مدیای مخصوص اون رو تولید و تو صفحه لود می کنه که دوباره از استارگیت اطلاعات بیشتری می گیره و در کمتر از ده ثانیه تکرار مجددش باعث نصب بدافزار در گوشی هایی می شه که از اندروید ۲.۲ تا ۴ یا پنج یا ۵.۱ استفاده می کنن. اما این همه داستان نیست. اپل ها هم در امان نیستن و هکرهای پالو آلتو نوشن دادن که چطوری می تونن روی گوشی های اپل جیل برک نشده (و البته روی آی پدها) بدون اطلاع یا همکاری صاحبش بدافزار نصب کنن. این تکنیک که AceDeceiver نامگذاری شده با استفاده هوشمندانه از DRM (که همیشه به ضرر استفاده کننده اش است [کمی توضیح]) کلا مکانیزم امنیتی نصب نرم افزار آی او اس رو دور می زنه. تکنیک اصلی استفاده از FailPlay است که انتظار می ره مکانیزمی باشه برای جلوگیری از کپی کردن برنامه های خریداری شده از روی دستگاه به یک دستگاه دیگه ولی خب با یک حمله مرد میانی می شه دستگاه رو گول زد و برنامه ها رو جای دیگه کپی کرد یا حتی در نمونه اخیر برنامه رو روی گوشی منتقل کرد.

گم شدن یک محقق امنیتی بنگلادشی

missing
تنویر حسن ضحی یک محقق امنیتی بنگلادشی است که همین چهارشنبه غیب شد! ضحی روی موردی کار می کرد که توش هکرها ۸۱ میلیون دلار از بانک بنگلادش دزدیدن و به حساب های تقلبی توی فیلیپین منتقل کردن و غیب شدن. البته هدف اصلی ظاهرا سرقت یک میلیارد دلار بوده که به خاطر چند اشتباه تایپی تنها ۸۱ میلیون منتقل شده! ضحی می گه از چند هفته قبل بدافزارهایی روی کامپیوترهای بانک بنگلادش نصب شده بود و دلیل اصلی کشف نشدنش ضعف سواد مسوولین بانک مرکزی بنگلادش بوده. بعد از انتشار نوشته ها و صحبت های ضحی، مدیر بانک مرکزی و دو تا از معاونینش استعفا دادن و بعدش ضحی غیب شد و خانواده اش نگرانشن. نمی دونم چی در موردش گفت به جز اینکه کشورها باید روش هایی برای گزارش مشکلات و حمایت از گزارش کننده ها داشته باشن نه اینکه تنها تلاششون ساکت موندن همه در مقابل مشکلات باشه.

کروم بوک هک کنین، ۱۰۰هزار دلار جایزه بگیرین

توی خبر قبل گفتم که دولت ها و شرکت ها باید هکرها رو تشویق به کارهای مثبت بکنن. گوگل یکی از این شرکت ها است که در برنامه های موسوم به باگ باونتی، از هکرهامی خواد که حفره‌های امنتیی رو کشف کنن و اطلاع بدن و جوایز بزرگ بگیرن. باگ باونتی فعلی مربوط به هک ریموت کروم بوک است. اگر شما بتونین از طریق وب کروم بوک گوگل رو هک کنین این هک بعد از ریبوت دستگاه کار کنه، جایزه تون ۱۰۰ هزار دلار است. اگر علاقمند به دنیای هک هستین و فکر می کنین چیزی بلدین، این گوی و این میدون. البته باید بگم که پارسال جایزه ۵۰هزار دلار بوده و کسی نتونسته برنده اش بشه ولی به هرحال به تلاشش می ارزه چون حداقل میبینن که منطقا یک هکر باید چه چیزهایی بلد باشه.

در اعماق

و همچنین یادآوری می کنیم که از این شماره سایت دیجیتاتو یکی از تبلیغ دهنده های رادیوگیک است. سایتی که شعارش «زندگی با تکنولوژی» است و سعی اش معرفی تکنولوژی های جدید به آدم ها. دامینش رو که حتما بلدین digiato.com و خوشحالیم که از این طریق پیش قدم شده برای حمایت از رادیو گیک.

اطلاعیه سازمان ملی امنیت ترافیکی آمریکا: مواظب خودروهای هک شده باشین
شاید این عنوان تا مدتی قبل ایده یک رمان علمی تخیلی بود اما حالا یک واقعیته. بولتن سازمان ملی امنیت ترافیکی آمریکا گفته که هرچند خیلی از هک ها منجر به مسائل امنیتی نخواهند شد اما مهمه که راننده ها و آدم ها به نشانه ها حساس باشن چون اگر یک هکر کنترل خودرویی در دست بگیره بسیار خطرناکه. بولتن می گه اینترنت چیزها داره کنترل خودروها رو در دست می گیره و تحقیقات زیادی مشکلات امنیتی ریموت توی خودروها رو نشون دادن از جمله ویدئویی که توش یک جیپ توسط هکر هک می شه یا مشکلات امنتیی جی ام و بی ام دبلیو که در هر دو مورد کمپانی ها به سرعت آپدیت دادن و مشکل دیده شده رو حل کردن. بولتن می گه مشکل امنیتی ممکنه هر جایی باشه، از سیستم بی سیم، بلوتوث، یو اس بی، وای فای یا حتی در یکی از اجزا که کمپانی های تردپارتی می سازن و این مشکلات می تونه به یک هکر امکان دسترسی به سیستم کنترل کننده خودرو و همچنین اطلاعات حرکت رو بده. همچنین یک خطر دیگه درست چیزی است که توی همین شماره در مورد لینوکس مینت گفتیم. هکرها ممکنه به سرورهای آپدیت خودروها دسترسی پیدا کنن و کد مخربی رو اونجا قرار بدن که ماشین روی خودش دانلود و نصب کنه. خوشبختانه قانونگذارهای آمریکایی اینقدر با شعور بودن که از نظر قانونی از اکتبر به بعد با تغییر قوانین مردم اجازه پیدا خواهند کرد نرم افزار خودروهاشون رو بررسی کنن و بدونن که توش چی می گذره تا از این طریق مشکلات بیشتری هم کشف و حل بشن.

دوستمون Emi یک لطیفه فرستاده که عملا خودش یک دراعماقه:

یه روز با ماشین زمانم ده سال جلوتر رفتم و از اولین آدمی ک دیدم پرسیدم
گوگل هنوز بهترین موتور جستجوی دنیاست؟
با صدای آروم لرزناکی بهم گفت : هیس! ممکنه صداتو بشنوه.

شکست غمگین ما از گو

فن هویی اول به نظرش حرکت کامپیوتر عجیب می یاد. اما بعد فقط می گه «تا به حال چنین چیزی از یک آدم ندیده بودم. خیلی زیبا بود» و هی تکرار می کنه «زیبا، زیبا…». حرکت مورد بحث حرکت ۳۷م مسابقه دوم بین برنامه کامپیوتری آلفا گو است که در قسمت قبلی ازش شنیدیم و حریفش لی سدول که بهترین بازیکن گو در جهانه. لی سدول توی ۵ تا مسابقه ای که این هفته در طبقه چهارم یک هتل زیبا با کامیپوتر داد، ۴ بر ۱ بازنده شد. ظاهرا این حرکت اونقدر قشنگ و عجیب و غیر مرتبط (ظاهرا) با حرکت های قبل بوده که لی سدول مجبور شده ۱۵ دقیقه بهش فکر کن و آخرش هم بازی رو واگذار کنه. یادتون باشه در شماره قبل کمی در این مورد حرف زدیم [تکرار کوتاه و اینکه ده سال آینده قرار بود ماشین ها توی گو ما رو شکست بدن]. فن هویی به عنوان یکی از قهرمانان اروپا در دو سه هفته قبل یک مسابقه پنج دوره با آلفا گو انجام داد که توی هر پنج تا مسابقه شکست خورد – البته خوشبختانه ایشون بخشی از تیم مشاور آلفاگو هم هست و در نتیجه هر طرف که پیروز می‌شد، پیروز نهایی خود فن هویی بود. بازی اول این روند رو تقریبا ۶۰ میلیون چینی تماشا کردن و متعجب شدن که چطور یک کامپیوتر قهرمان جهان در بازی ۲۵۰۰ساله اوناه شکست می ده. گزارشگرها می گن احساس شکست و ناراحتی ای که به خیلی از‌آدم ها دست داده طبیعی است و حتی الون ماسک و سم آلتمن هم اونو تجربه کردن. جایی که می بینیم از ماشین ها شکست می خوریم (توضیح خودم در مورد حافظه و خیلی جاهایی که عقبیم ولی نمی فهمیم). البته بخش جالب اینجاست که فن هویی خیلی هم نگران نیست. اون در طول پنج ماه گذشته بارها و بارها و بارها با ماشین بازی کرده و ازش شکست خورده ولی در بین انسان ها رتبه اش خیلی بهتر شده. در ابتدا اون رتبه ۶۳۳ جهان رو داشت اما حالا تقریبا ۳۰۰ است! ماشین ها هم می تونن باعث پیشرفت ما بشن و مشکل اصلی همونی است که هاوکینگیز بهش اشاره می کنه: سرمایه داری و شیوه استفاده از هوش مصنوعی.

و البته برای اینکه غمگین تموم نکنیم، از تظاهرات هامون می گیم
تظاهرات درمقابل ساختمان کنسرسیوم ورلد واید وب علیه هالیوودی کردن وب از طریق اضافه کردن دی آر آم به اچ تی ام ال ۵.
ماجرا مثل همیشه از یکی از بهترین بنیادهای جهان یعنی fsf شروع شده. چند وقت پیش اخبار SOPA و PIPA خیلی روی بورس بود که عمل جمعی ساکنین وب جلوشون رو گرفت. حالا پیشنهاد جدید رسانه های عظیم و هالیوود اینه که به اچ تی ام ال پنج دی آر ام اضافه بشه. این در واقع تلاشی است برای اضافه کردن محدودیت به فرمت های آزاد وب و بستن دست آدم ها در استفاده از نرم افزارها یا اصولا در سطحی بالاتر کنترل کامپیوترشون. این پروپوزال که EME خونده می شه (Encrypted Media Extentions) صدمه ای است تقریبا غیرقابل جبران به آزادی وب. ممکنه ما که توی ایران نشستیم مفهوم «وب آزاد» اصولا برامون مسخره و خنده دار و دور ازدست باشه اما باید بدونیم مشکل چیه. مساله اینه که فعلا فرمت های وب برای همه قابل استفاده هستن و هر کسی با هر ابزاری به شیوه ای که دوست داره می تونه از وب استفاده کنه اما اضافه شدن دی آر ام به استانداردها درست مثل فلش و سیلورلایت که خوشبختانه هر دو در حال احتضارن ساکنین وب رو مجبور خواهد کرد فقط با یک برنامه خاص به اطلاعات دسترسی داشته باشن و عملا کامپیوترشون دیگه توی کنترل خودشون نباشه. این خیانتی است به ارزش های بنیادینی که وب روش بنا شده و در نهایت وب رو تبدیل می کنه به یک لوله کشی انحصاری که شرکت های بزرگ تعیین می کنن چه کسی می تونه چی رو در چه شرایطی روش مصرف کنه. برای من و شما هم لازمه اطلاعاتمون رو در مورد آزادی وب و بی طرفی شبکه بیشتر کنیم .. کسی چه می دونه، شاید یک روز ما هم از بحث سانسور توییتر و فیسبوک و مشکلات عمدی اچ تی تی پی اس های گوگل و بیت باکت و ریپوزیتوری هامون رسیدیم به بحث اینکه استانداردهای وب باید آزاد بمونن.

یه چیزی نگفته موند! دعوای اپل و اف بی آی
[ خودم حرف بزنم بخصوص در مورد مفهوم در پشتی و ناامن شدن همه چیز باهاش + مرزهای جغرافیایی مبهم + جامعه آزاد ]

تبریک و تقبیح

تقبیحی داریم برای آپارت که فیلم منو و خاتمی رو حذف کرده.. [کمی توضیح و اینکه تقبیح آپارات نیست،‌ تقبیح سانسورچی وقانونگذار است]. بی بی سی فارسی رو هم داریم در بخش تقبیح ها به خاطر یک مطلب خیلی ضعیف با عنوان «آیا تلفن‌های هوشمند ما را شنود می‌کنند؟». مقاله یک ترجمه است از نوشته ای دیگه توی بی بی سی ولی این عنوان توی ایران منطقا باید شکل دیگه ای نوشته بشه و یک ترجمه صرف از خارج جوابگو نیست؛ در عین اینکه مقاله مثلا می گه عده ای یک برنامه نوشتن که با اجراش هر چی اطراف تلفن میگیم رو صفحه نمایش یک کامپیوتر دیده می شه، خب معلومه که می شه اینو نوشت. مثل اینه که بگیم «آیا تلفن من من را شنود می کند؟» و بعد یکی نشون بده که چطور اگر تلفن زنگ زد و جواب دادیمش… [ توضیحات خودم].

DRU-dominos-pizza-robot-640x360

تبریک هم داریم برای پیتزا فروشی دومینو که یک پیتزای زنجیره ای بزرگ در جهانه که با کیوت ترین دستگاه ممکن قراره به شکل خودکار پیتزاها رو به خونه مردم بفرسته (و البته تسلیت به کسانی که شغلشون رو با اینکار از دست می دن.. توضیح در مورد هانی اکسپرس)

تبریکی هم داریم به خانم «نرگس ماوالوالا» که مسوولیت بزرگی در کشف امواج گرانشی که کلی در موردش خبر بود داشتیم… ایشون پاکستانی هستن، لزبین هستن، با پارتنرشون یک بچه دارن و توی یک خانواده زرتشتی به دنیا اومدن و حالا اسمشون کلی مشهوره چون نقشی بسیار مهم در کشف امواج گرانشی که یکی از بزرگترین کشفیات فیزیک اخیره داشتن. اینو یکی از دوستان با ایمیل ناشناس یادآوری کرد تا یادآور این باشه که پیش فرض های ذهنی مون رو دور بریزیم و بدونیم یک خانم لزبین زرتشتی زاده پاکستانی که با پارتنرش یک بچه هم داره، آدم مهمه دنیای فیزیک می تونه باشه و این کارها فقط مال بازیگرها نیست (:

نامه ها

از تماس شما و ابراز تمایل برای انتشار محتوای رادیوگیک روی شبکه ی توشه، سپاسگزاریم. ما از این هفته به طور ثابت و در بسته ی اَپ و تکنولوژیِ چهارشنبه‌های توشه، رادیوگیک هم می‌فرستیم و مخاطبانِ توشه محتوای سایت شما را دریافت خواهند کرد. توشه از ابتدای این هفته رسماً آغاز به کار کرد که خبر تصویری راه اندازی آن را میتوانید در ضمیمه ببینید.
خوشحال می‌‌شیم اگر رادیوگیک، مخاطبان خود ‌را امکان جدید دریافت محتوا از طریق توشه هم باخبر کند.
آدرس ما در توییتر،تلگرام، فیسبوک و اینستاگرام:
– https://twitter.com/tooshehapp
– https://telegram.me/tooshehapp
– https://www.facebook.com/tooshehapp
– https://www.instagram.com/tooshehapp

موسیقی

موسیقی آخر به نام Mad World از Gary Jules
موسیقی های دیگه «شروین – خداحافظی»، «امیدحاجیلی، تردست» و «The Girl Without Hair».

اکثر چیزها در مورد باگ نافرم جی لیب سی

glibc-exploit

یک باگ جدید و جدی توی glibc دیده شده. یک باگ خیلی جدی. کتابخونه سی گنو یا همون glibc یکی از بخش‌های بسیار مهم اکثر توزیع های لینوکس است. حالا یک باگ توی این کتابخونه هزاران برنامه لینوکس رو تهدید می کنه. این باگ نسبتا شبیه باگ سال گذشته GHOST است (CVE-2015-0235) که اجازه می داد از راه دور کدهایی روی ماشین اجرا بشه.

باگ فعلی (CVE-2015-7547) یک باگ سرریز استک (stack based buffer overflow)‌ است در بخش کلاینت دی ان اس glibc که وظیفه تبدیل کردن آدرس های قابل فهم برای آدم ها (مثلا jadi.net) به آی پی رو داره.

کلیت ماجرا

این مشکل وقتی دیده می شه که یک دستگاه دارای باگ سعی کنه به یک DNS سرور بدطینت ریکوئست بزنه و نتایج رو توی حافظه بذاره (تابع getaddrinfo). چیزی که دی ان اس سرور بدخواه بدجنس بر می گردونه ممکنه حاوی کدی باشه که کار مخربی می کنه و نشستنش توی حافظه – در سطرح تئوری – باعث اجراش خواهد شد. البته در عمل این اتفاق تقریبا غیر ممکنه چون انواع مکانیزمهای امنیتی جلوی اونو خواهند گرفت (شامل ASLR). حالت بعدی اینه که حمله کننده به شکل مرد میانی درخواست های دی ان اس رو خودش بر می گردونه و بینشون کدهای نامناسب درج می کنه.

چه کسانی مبتلا هستن

تقریبا هر سیستم لینوکس جدید با این مشکل مواجه خواهد بود. این باگ از جی لیب سی ۲.۹ به بعد ظاهر شده و در نتیجه هر برنامه ای که با استفاده از توابع glibc به شبکه دسترسی پیدا می کنه ریسک داره. نمونه ها؟ اس اس اچ،‌ سودو و کرل. لیست کامل می خواین؟ تقریبا غیر ممکنه. بهتره تصور کنین اکثر برنامه های مرتبط با شبکه و حتی زبون های پایتون، پی اچ پی، روبی، … و البته برنامه‌های بیت کوین.

مشکل دقیقا کجاست

محققین گوگل می گن که بخشی از glibc که به دی ان اس ریکوئست می زنه مشکل داره. این مساله به جی لیب سی تذکر داده شده و اصلاح شده و همه باید آپدیت کنیم… حداقل در طول هفته آینده دائما آپدیت کنیم. مهندسین گوگل می گن:

جی لیب سی ۲۰۴۸ بایت برای استک الوک می کنه تا جواب دی ان اس از _nss_dns_gethostbyname4_r رو توش ذخیره کنه. جلوتر در تابع send_dg و send_vc اگر جواب بزرگتر از ۲۰۴۸ بایت باشه، بافر جدیدی درست می شه و پوینترها آپدیت می‌شن. در شرایط خاص ناهماهنگی بین بافر استک و تخصیص دهی جدید هیپ پیش می یاد و نتیجه این می شه که بافر استک برای ذخیره کردن جواب دی ان اس استفاده می شه، حتی در مواقعی که جواب بزرگتر از اندازه این بافر باشه. این مساله موجب اورفلوی بافر استک می شه.

(فارسی گفتن اینها عجیب می شه. متن اصلی اینجاست).

اثبات شده

سه شنبه مهندس گوگل فرمین سرنا یک اکسپلویت برای اثبات این مساله منتشر کرد. با استفاده از این اثبات مفهوم می شه چک کرد که آیا برنامه های ما در مقابل این مشکل صدمه پذیر هستن یا نه (هستن!).

اصلاح

مهندسین گوگل با همراهی ردهت یک پچ برای حل مشکل ارائه کردن. اما مساله اینه که حالا تک تک توزیع‌ها باید glibc خودشون رو آپدیت کنن و هر برنامه ای که استاتیک این کتابخونه رو لینک کرده، باید خودش رو آپدیت کنه. مثل همیشه در دنیای لینوکس وقتی مشکلات دیده بشن سریعا حل می شن و من و شما فقط کافیه آپدیت کنیم. پس در روزهای آینده حواستون به آپدیت ها باشه ~~منتظر آپدیت های زیاد باشین~~. همچنین اگر از سروری محافظت می کنین که به اینترنت وصل نیست، دردسرهای نسبتا زیادی منتظر شما خواهد بود چون آپدیت کردن این سیستم‌ها معمولا دردسره و در مواردی شاید نتونین به سادگی فقط glibc رو آپدیت کنین.

آیا من و شما در خطریم؟

در حالت معقول نه. کامپیوترهای ما به دی ان اس سرورهای بدجنس وصل نمی شن و اگر از لینوکس هایی به روز استفاده کنیم مشکل همین الان هم تا حدی برطرف شده و فقط در روزهای آینده باید آپدیت‌ها رو جدی بگیریم همچنین اندرویدها به جای glibc از بیونیک استفاده می کنن که این مشکل رو نداره و اکثر لینوکس های درونکار( امبدد؟ )‌ هم مشکلی نداره چون اکثرا uclibc هستن.

نکته باقیمانده

به سادگی در کامنت ها مطرح کنین و سعی می کنم در سطح سواد و وقت جواب بدم و بقیه رو هم می سپریم به دوستان باسوادتر در کامنت ها (:

ردپاهایی که از خودمون به جا می‌ذاریم؛ مواظب اسکرین‌شات‌ها و اسکرین‌ کست‌ها باشین

دوست خوبم هوشمند مطلب جالبی نوشته بر اساس یک اسکرین شات که از یکی از آموزش‌های ویدئویی من من گرفته و نشون می‌ده چقدر اطلاعات در یک لحظه ممکنه از شما لو بره. البته من در حین ضبط حواسم به چیزهایی بود (به جز اون فایل که هوشمند هم اسمش رو کامل نیاورده). شاید براتون جالب باشه که مدتی قبل پسورد ایمیل یکی از اساتید بسیار مشهور پی اچ پی جهان به خاطر موضوع مشابهی لو رفت. این دوستمون که در سری آموزش‌های لیندا تدریس می‌کرد، داشته در مورد شیوه ارسال ایمیل از طریق کد پی اچ پی درس می‌ده و یک جایی با اسکرول سریع از روی یک سورس می‌گذره. معلومه که یک نفر پیدا می‌شه و فیلم رو در لحظه مناسب متوقف می‌کنه و کد در حال نمایش، حاوی یوزر و پسورد استاد در سایت جیمیل بوده! اتفاق جالبتر بررسی پیشنهادهای براوزر و گوگل در لحظه‌ای از ویدئو است که کسی داره یو آر الی رو تایپ می کنه. کل مطلب هوشمند در مورد ردپاهایی که از خودمون به جا می‌ذاریم رو اینجا بخونین و اون فایل بالای شونزده سال راهنمای تصویری دادن اورال سکس است از یک مجموعه تصویری جالب که می‌تونین از اینجا ببینینش.

رادیو گیک شماره ۵۸ – Dont reboot, just patch

شماره پنجاه و هشتم رادیو گیک با شماست! انواع گیک‌ها آماده باشن که این شماره پر از خبرهای مایکروسافتی، هوش مصنوعی و امنیتی است. از کامپیوتر مرکل تا ایمیل‌هایی که خودشون به خودشون جواب می‌دن. با ما باشین در فصل پس از فصل انگور که اولش فراموش می کنیم از خانه وفا نام ببریم اما دلمون همیشه باهاشه.

مشترک رادیو گیک بشین

خشن‌تر شدن صورت‌های لگو

اخبار

Lego-faces-are-becoming-m-008

با تشکر از پیام که خبر رو بهم نشون داد، دانشمدهایی که روی چهره‌های آدمک‌های لگو کار کردن می‌گن که این چهره‌های سابقا ساده و دوستانه یا بی حالت حالا دائما دارن به سمت خشن‌تر شدن میرن. قدیم‌ها اکثر شخصیت‌های لگو دکترهای مهربون در حال مداوای بیمار، راننده های ماشین‌های سنگین و این تیپ چیزها بودن اما حالا که شخصیت‌های جنگ ستارگان و هری پاتر و دزدهای دریایی و غیره وارد مجموعه شدن، چهره‌های عصبانی هم در حال زیاد شدن هستن. این تحقیق ۳۶۵۵ صورت از ۱۹۷۵ تا ۲۰۱۰ رو بررسی کرده می‌گه همبازی بچه‌های این نسل، خشن‌تر از همبازی‌های نسل‌های قبل است.هنوز نمی شه گفت این بده یا خوبه. به هرحال آشنایی بچه‌ها با چهره‌هایی بهتر خوبه اما شاید هم یک بچه خوب نباشه خشونت رو از بچگی ببینه. لگو در مورد این تحقیق گفته که اگر پدر مادرها نمی خوان بچه‌هاشون با چهره‌های خشن و ناراحت روبرو باشن، می تونن سر لگوها رو با سر لگوهای مهربون‌تر عوض کنن.

پارتنر شدن ردهت و مایکروسافت
وبلاگ رسمی مایکروسافت خبر می ده که دنیای کلاود در حال تغییره و مشتری ها دنبال راه حل های ارزون، قابل گسترش و پایدار هستن و حالا پارتنر شدن با ردهت، فرصت‌های جدیدی برای مشتری های کلاود مایکروسافت فراهم خواهد کرد. در این مشارکت ۱) ردهت روی آژر برای مشتریان فراهم خواهد بود ۲) ساپورت برای محیط‌های دوگانه (مایکروسافتی و ردهتی)‌توسط شرکت به مشتریان ارائه می شه ۳) همکاری روی توسعه دات نت به شکل مشترک توسط ردهت و مایکروسافت و توسعه نرم افزارها روی لینوکس ردهت ۴) حرکت مشترک روی مدیریت کلاودهای شرکت ردهت و شرکت مایکروسافت برای مشتریان به شکل متمرکز.

اینستاگرام و اثر بیبر

حالا نزنین ولی من یک آهنگ از بیبر رو خوشم اومد.. بعدش اینترنت گفت باید ازش بدم بیاد وگرنه ضایع هستم (: و البته بعدش واقعا کارهای دیگه و رفتارها و سکناتش رو دیدم و ازش بدم اومد (: ولی بحث ما این نیست که آیا اینترنت اجازه داره به شما بگه کی خوبه کی بد‌ (چون مثلا اینترنت خارجی ها می گه ویندوز ده بده ولی اینترنت ایرانی ها می گه ویندوز ده خوبه و من نمی دونم چقدر خارجی ام چقدر ایرانی (:… واقعا کی می تونه بگه چه بخشی از هر کس در کجا شکل گرفته؟).

چی می گم… اثر بیبر رو اینستاگرام از همه بهتر می ‌شناسه. همین که جاستین عزیز یک عکس می‌ذاره. در چند ثانیه و بعد چند دقیقه میلیون‌ها بیبرکار درجه یک عکسش رو لایک می کنن و کوئری به این شکل که «هر اکانتی که برای فلان عکس بیبر لایک زده رو بشمر» می ره تو باقالی‌ها. اگر برنامه نویس باشین دقت کنین که اگر جزو گروهی هستین که این مساله به نظرتون خنده دار و بی سوادانه می یاد باید به این فکر کنین که شرکت اینستاگرام هم احتمالا چند تا برنامه نویس و اسکوئل کار داره که از من و شما بهتر کارشون رو بلدن و اگر اونها می گن این مساله واقعا دردسرزا است، احتمالا واقعا هست (: درک اسکیل در شرکت‌های بزرگ خیلی مهمه. [ کمی توضیح در مورد مخابرات و برنامه‌هاش، مثلا اسمس سرور]. حالا اینستاگرام در مقاله ای جالب توضیح می ده که چطوری بعد از فروخته شدن به فیسبوک تونسته بالاخره این مشکل رو حل کنه.. در واقع با تکنولوژی های فیسبوک. از یکطرف با سوار شدن روی دیتاسرورهای عظیم فسیبوک که احتمالا بزرگترین ها در جهان هستن و از اونطرف با استفاده از برنامه نویسی. اولین حقه چیزی به اسم denormalized counter است که سعی می کنه در یک کش حافظه ای تعداد کل لایک‌ها رو نگه داره و اینها رو روی سرورهای مختلف سینک کنه. همچنین به جای شمردن هرباره ماجرا، الان یک سل خاص به تعداد لایک های هر عکس اختصاص پیدا کرده که زمین تا آسمون سرعت رو متفاوت می کنه ولی پیچیدگی های سینک شدن بین سی دی ان ها و سرورهای هر نقطه جغرافیایی رو درست می کنه. راه حل این بخش استفاده از برنامه ای به اسم PgQ است اگر دیتابیس پست گرس اینستاگرام در یک منطقه آپدیت نباشه، به مناطق دیگه مراجعه می کنه و عددها رو می گیره و مطمئن می شه از این به بعد همه یک عدد ثابت رو به عنوان تعداد لایک ها خواهند دید. حالا که اینو گفتم دو تا چیز رو هم بگم [توضیحات خودم] ۱) مم اسکوئل و ۲) خریدن لایک و فالوئر در اینستاگرام

ویندزو ۳.۱ زنده است!

win31

واقعا جای تشویق داره. فکر کنم اگر همسن من نباشین اصولا ویندوز ۳.۱ رو ندیدین. [کمی توضیح در دانشگاه و داس]. اخیرا هم یکی از سیستم‌های فرودگاهی یکی از شهرهای فرانسه دچار مشکل شد و تا مدتی هواپیما نتونستن بشینن.. کامپیوتری که به کارمندان برج مراقبت می گفت هر هواپیما چقدر فرصت برای نشستن داره (یا همچنین چیزی) مشکل داشت و بوت نمی شد و در نهایت … مشخص شد که ویندوز ۳.۱ی که روش بوده و کار می کرده دچار نقص فنی شده! این سیستم عامل در ۱۹۹۲ منتشر شد.. همزمان به هسته کرنل لینوکس و البته لازمه بگیم همین فرودگاه چند تا ماشین یونیکس و ویندوز ایکس پی هم داشته! ایده بدی نیست که اصولا بخشی از فرودگاه رو به عنوان موزه نگهداری کنن ((: مسوولین فرودگاه گفتن که مشکلاتشون خیلی زیاده و باید آپگرید کنن چون متخصصینی که بتونن این سیستم ها رو تعمیر و نگهداری کنن دائما کمتر و کمتر می شن. به شکل مرتبط بگم که ناسا هم داره دنبال یک برنامه نویس فرترن می گرده چون برنامه نویس قبلی که مسوول برنامه نویسی اولین سفینه‌های کامپیوتر دار بوده داره بازنشسته می شه. کسی که استخدام بشه باید برای ویجر ۱ و ۲ برنامه بنویسه که در سال ۱۹۷۷ به فضا پرتاب شدن تا مناطق خارج از منظومه شمسی رو بررسی کنن. اینها یک کامپیوتر ۲۵۰کیلوهرتزی دارن که فرترن می فهمه ولی متاسفانه آخرین برنامه نویسش داره بازنشسته می شه و شاید لازم باشه یکی زمانی باگی رو در این دورترین اشیای ساخت بشر به زمین، اصلاح کنه یا چنین چیزی. فرودگاه فرانسه قراره در ۲۰۱۷ آپگرید بشه ولی مدیرش می گه که بعیده تا ۲۰۱۹ بودجه لازم برای اینکار تامین بشه. حالا که هی خبر هوایی می گیم این دو تا رو هم بگم… اولی اینکه توی دسامبر ۲۰۱۴ فرودگاه لندن که یکی از مهترین فرودگاه های جهان است ۳۶ دقیقه از کار افتاد چون یک نرم افزار ۵۰ ساله‌اش دچار مشکل شد و اوایل همین امسال، دو تا هکر به خاطر کشف یک مشکل امنیتی در حین یک مسابقه «باگ باونتی» یونایتد ایرلاینز برنده یک میلیون مایل پرواز رایگان شدن (:

و آیا مایکروسافت سر عقل می یاد؟ پاور شل و اس اس اچ

مایکرسوافت هی داره بیشتر و بیشتر سعی می کنه به حرف مردم گوش بده تا قدرتش در بازار رو از دست نده. حتی در شبکه های اجتماعی و غیره در مورد اینکه چی لازمه و چی خوبه حرف می زنه و معملومه در هر جای حرفه ای دائما این رو می شنوه: «آخه مگه می شه پاور شل اس اس اچ نداشته باشه؟». حالا یک مقاله توی ام اس دی ان داره می گه چقدر اس اس اچ چیز خوبیه و چقدر جالبه که بشه یک سرور رو با اس اس اچ کنترل کرد و ویندوز هم می خواد این امکانات رو فراهم کنه! تا اینجا می تونیم بهشون غرهای مرسوم رو بزنیم و [بزنم دیگه! اینکه تازه کشف کردی و گرپ هم خوبه و ..] ولی بخش خوب خبر اینه که سعی نکردن چرخ رو اختراع کنن.. با فونت بولد نوشتن «خوشحالیم اطلاع دهیم که تیم پاور شل از این پس از پروژه اوپن اس اس اچ حمایت و در آن مشارکت خواهد کرد». این رو آنجلو کالو از تیم پاور شل نوشته.

ماجرای این پسره و عکس و ..

در اعماق

متوقف شدن یک خودروی گوگل توسط پلیس

دائما بحث هست که آیا ماشین‌های گوگل باید حق داشته باشن بدون راننده حرکت کنن یا نه. البته حینی که من و شما داریم بحث می کنیم ماشین ها راه افتادن و کمپانی های دیگه هم ساختن. فعلا هم تصادفی از طرفشون نبوده که رکوردی عالی است [کمی توضیح].اما هفته گذشته متوقف شدن یکی از این ماشین‌ها توسط پلیس خبرهای جدیدی راه انداخت. یک پلیس ماونتین ویوو یکی از ماشین‌ها رو به علت «حرکت خیلی آروم» متوقف کرده. این ماشین کوچیک که فقط حق داره در جاده‌هایی بره که حداکثر سرعتشون ۳۵ مایل است، داشته با سرعت ۲۵ مایل می رفته و ترافیک رو کند کرده بوده و توسط پلیس متوقف می شه [توضیح اینکه چطوری متوقف می شه و کی جریمه می شه! ماشین یا راننده؟] و خب کلی از ساختمون های اطراف هم از این پلیس سردرگم عکس گرفتن.

هک وایرلس خونه‌ها از طریق کتری وایرلس

یک کتری «هوشمند» صد و پنجاه دلاری شاید چیز جالبی باشه . می تونین از هر جایی روی اینترنت آب رو جوش بیارین و هر وقت به خونه رسیدین راحت باشین… اما خب هکرها هم راحت می تونن به پسورد شما دسترسی داشته باشن. این کتری هوشمند برای رسیدن به اینترنت پسورد خونه شما رو می گیره و بدون هیچ تغییری توی حافظه اش ذخیره می کنه. آی کتل اینقدر هم خنگه که به هر شبکه دیگه ای با اسم مشابه وصل می شه و کافیه یک هکر با استفاده از یک آنتن قوی‌تر از آنتن خونه شما به کتری نزدیک بشه و کتری خنگ، پسورد رو براش می فرسته که به این وای فای «آشنای» قوی وصل بشه ( محققان شرکت پن تست پارتنر این هک رو نشون دادن و برای اثباتش توی شهر راه افتادن و نه فقط پسوردها رو پیدا کردن که جای دارندگان کتری هوشمند آی کتل رو هم رو نقشه مشخص کردن (: و گفتن که با داشتن پسورد وای فای، می تونن به شبکه قربانی وصل بشن، دی ان اس ها رو تغییر بدن و کل ترافیک قربانی رو زیر نظر بگیرن. حواستون باشه، کسی که شبکه شما رو می ده، می تونه شما رو زیر نظر بگیره مگر اینکه اخلاق داشته باشه یا قانون کنترلش کنه.

هک کامپیوتر مقامات آلمانی

merkel
یک بدافزار خیلی قدرتمند که احتمالا به ان.اس.ای. مرتبط است لپ تاپ شخصی منشی، چنسلر یا هر چی هست.. ملازم؟ همکار؟ کمک دست؟ مرکل رو آلوده کرده! این خبر رو اشپیگل گفته و آلمانی ها حق دارن ازش عصبانی باشن. این بدافزار که توی اسناد اسنودن هم بهش اشاره شده … دیگه نمی شه زیاد ازش حرف زد چون به خودمون هم ربط های داره. یعنی به اون استاکس نت خبیث. در سال ۲۰۱۳ هم نشانه‌های از آلودگی تلفن موبایل مرکل مشاهده شده بود. حتی گفت می شه چند وقت قبل روس‌ها هم از همین طریق تونستن یک بدافزار رو در حدود ۲۰۰۰۰ کامپیوتر مقام‌های آلمانی پخش کنن. خلاصه وضع آلمان از این نظر خرابه (: [ کمی توضیحات در مورد جنگ سایبر و شرایط غیرجنگی اون ]

ماشین! به ایمیلم جواب بده

logic

اتفاق عجیبی در دنیای هوش مصنوعی گوگل هم در جریانه. اولا که گوگل تنسرفلو یا همون موتور هوش مصنوعی‌اش رو اوپن سورس کرده و در محافل برنامه نویسی اینترنتی دائما بحث نصب و تست و کاربردهای اونه. اگر نیدیدن حتما سرچی برای تنسرفلو بکنین. بعد اینکه یکی از محصولات جالب این سیستم‌ها، چیزی است که گوگل احتمالا تا چند وقت آینده برای گروهی از مخاطب‌هاش فعالش می کنه. دستوری شبیه به اینکه «برای این ایمیل جواب اتوماتیک بنویس». بله درست شنیدین! ایمیل وارد اینباکس شما می شه، گوگل درکش می کنه و با داشتن جواب های قبلی شما می تونه حدس بزنه جواب شما به این ایمیل چیه، بخصوص اگر ایمیل چیزی شبیه به دعوت به جایی یا قراری یا چنین چیزهایی باشه. بعد اگر درخواست کنین گوگل جوابی منطقی براتون آماده می کنین که می تونین ادیتش کنین یا همونطوری بفرستینش. یک مثال ساده اینه که در بخش انکدر چیزی مثل «آیا فردا وقت آزاد داری؟» از بخش «فکر» رد می شه و با چیزی مثل «بله، برنامه چیه؟» دیکد می‌شه. خود نویسنده‌ها الان دارن ازش استفاده می کنن. ایده اولیه این بوده که سه جواب مختلف برای هر ایمیل آماده بشه که شما بتونین یکی رو انتخاب کنین ولی این جریان هنوز باگ داره. مثلا وقتی سه جواب به سوال قبلی خواستن به چیزهایی مثل این رسیدن «بله، فردا برنامه چیه؟»، «بله فردا وقت دارم، چه کنیم؟» و «آره، فردا چه کاره‌ای؟». که از نظر ما هر سه‌اش یکی است. راه حل رو شخصی به اسم سوجیت راوی داده که جواب‌ها باید از یک سیستم سمانتیک آنالیسیس بگذرن و فقط جواب‌های قبول بشن که نه فقط کلماتش که محتواشون هم با هم فرق داره. نکته جالب دیگه اینه که سیستم در نمونه‌های اولیه به بسیاری از ایمیل‌ها با «آی لاو یو» جواب می داده که ظاهرا از نظرش برای هر ایمیلی جواب مناسبی است (: اگر براتون فعال شد قارتی سند رو فشار ندین!

تبریک و تقبیح

تبریک به زوکربرگ به خاطر پول‌هایی که برای اصلاح و بهبود سیستم آموزش و مدارس در آمریکا خرج می کنه. تقبیح به کسانی که شغل و موندنشون در گرو کشتن و آزار بقیه است. از خودمون تا دوست و همسایه‌ها تا سرزمین‌های دور و تبریکی به مایکروسافت برای کارهای فانی که می کنه.. اوپن سورس کردن کلی چیز و امروز هم انتشار یک کتاب علمی تخیلی.

نامه ها

ابتدا می خواهم بابت مقدمه ای که در مورد قلم ها فرمودید تشکر کنم. کار ناچیزی بود برای دوستان.
اما در ادامه فرمایش حضرت عالی عرض کنم که حقیقت اش را بخواهید بنا به دلایلی از این گفتگو معذورم. این دلایل از جانب خودم است و نه شما. لیکن امیدوارم خدای ناکرده اسباب سوء تفاهم نگردد. اما اگر علاقه مندید که بدانید ماجرای قلم چه بوده اجمالا شرح می دهم.

در اندیشه فونتی جایگزین برای تاهوما بودم که رسیدم به فونت رویا. این فونت در سایت fontlibrary ظاهرا با مجوز Bitstream Vera معرفی و منتشر گردیده است. تغییرات بسیاری را اعمال نمودم که حاصلش قلمی گشت با نام چوپان! از نتیجه راضی نبودم و ظاهرش به یکان شبیه شده بود! اما خب شاید برای شروع و نخستین حرکت بد نبود که در خود فایل فونت رویا تحت قسمت متادیتا به این جمله رسیدم:
You may freely redistribute this font, but you may not change or rename it.

با لیست پستی آف تاپیک تهلاگ در میان گذاشتم که یکی از دوستان نیز به فردی اشاره کرده بود. مشخص بود که این فونت به فارسی وب شریف مربوط می شود که به یکی از بنیانگذارانش نامه ای ارسال و طرح پرسش و درخواست نظر یا کسب اجازه نمودم. پاسخی نیامد. یکی دو هفته بعد به فرد دومی نیز پیامی فرستادم که از ایشان نیز پاسخی نیامد. پیش خودم فکر می کردم که خب این بزرگواران چه جوابی بدهند. موضوع مشخص است. آمده است که اجازه تغییر قلم ندارید! شاید من اشتباه کرده ام و نباید می پرسیدم.
در همین اثنا نیز به دنبال بستر مناسبی دیگر که از هر حیث عاری از مشکلات مجوز باشد بودم که به فونت عالی DejaVu رسیدم. رویا با همه خاطرات تلخش را فراموش نمودم و از صفر با ذهنی خالی و آزاد، روزهایی را با فونت DejaVu درگیر شدم تا رسیدم به میرزا که بعدا به وزیر تغییر نام داد. و پس از آن فونت های دیگری که در ذهنم مانده بود بر بستر وزیر پدید آمدند.

احتمالا این قلم ها از دید متخصصین حوزه قلم، استاندارد یا زیبا نباشند (که من هم قبول دارم) اما خب تلاشی بود از جانب یک برنامه نویس یا شاید هم یک هکر برای کمک به جامعه اش! این قلم ها برای هر نوع استفاده یا تغییری آزادند. اساسا این فونت ها با ذهنیت Public Domain پدید آمدند. حتی اگر کسی فکر می کند همین مجوز OFL هم برایش محدودیتی ایجاد کرده بگوید برایش رفع می کنم.
این فونت ها تنها یک تلاش فان بود. :)

بخش آخر

ادوارد اسنودن در مورد پرایوسی

snowden

در این بخش نصیحتی براتون دارم از ادوارد اسنودن. رد این بخش اسنودن داره در این مورد حرف می زنه که چطوری باید از خلوت شخصی یا پرایوسی خودمون حفاظت کنیم. مثل همیشه از تور می گه و از سیستم‌های مخفی موندن از شنود و همزمان تاکید داره که بحث فقط مخفی شدن نیست و باید از نظر سیاسی و اجتماعی هم در جوامعمون فشار بیاریم و حقوق خودمون رو در مقابل شنود کنندگان حفظ کنیم. تا اینجا معمول است و همه می دونیم. بخش آخرش اما جزیی تر، خردنگرتر و کمتر شنیده شده می شه. حرف اینکه اگر ما تصمیم می گیریم چیزی رو شر کنیم هنوز به این معنی نیست که باید همه چیز رو همه جا یکجور شر کنیم. قرار نیست بریم توی غار ولی باد آگاهی هم داشته باشیم:

بله من در مورد به اشتراک گذاشتن انتخابی حرف می زنم. همه لازم نیست همه چیزی که ما می خوایم بگیم رو بدونن. مثلا دوستان من لازم نیست بدونن الان رفتم داروخونه. فیسبوک لازم نیست سوال امنیتی بازیابی پسورد من رو بدونه. شما لازم نیست اسم وسط مادرتون رو توی فیسبوک برای همه بنویسین – اگر از این اسم برای ریست کردن کلمه عبور جیمیل وقتی که فراموشش کردین استفاده می کنین. ایده اینه که به اشتراک گذاشتن اوکی است اما باید داوطلبانه باشه و آگاهانه. باید فکر کنیم که آیا این به اشتراک گذاشتن فایده‌ای برای ما یا طرف مقابل داره یا نه .

اگر در حال کار با اینترنت باشین… روش‌های مرسوم ارتباطات به شما خیانت خواهند کرد. ساکت و خاموش و غیرقابل دیدن. اونهم با هر کلیک که می‌کنین. هر صفحه‌ای که باز می کنین یا بهش می‌رسیم اطلاعاتی در حال دزدیده شدن است. این اطلاعات جمع می‌شن، شنود می‌شن، تحلیلی می‌شن و توسط دولت‌ها ذخیره می‌شن. چه دولت خودتون چه دولت‌های دیگه. همینطور توسط شرکت‌ها. شما می‌تونین این وضعیت رو با چند قدم ساده بهتر کنین. کارهایی مقدماتی. حالا که اطلاعات مرتبط با شما در حال جمع شدنه، حداقل کاری بکنین که اطلاعاتی که خودتون داوطلبانه و آگاهانه می‌دین در مورد شما جمع بشه.

موسیقی

توی این شماره از چند آهنگ احمد آزاد استفاده کردیم و همچنین آپتایم فانک که این روزها خیلی مشهور شده حدیث عشق از فرشته و در نهایت سارا کانر ( Connor ) به درخواست سینا قدیمی.
آهنگ آخر بلا چاو با اجرای فارسی شکیب مصدق به درخواست محمد حسنی عزیز

رادیوگیک شماره ۵۷ – آرش آزاد

در شماره پنج و هفت رادیو گیک و در نبود آرش زاد عزیز، مهمون من، هیچکس و سرفه‌هامون هستین تا تکنولوژی و جامعه رو با هم یکی کنیم! با ما باشین چون این شماره بالاخره یک شماره کوتاهه.

مشترک رادیو گیک بشین

آمازون و کشوندن ۱۱۱۴ اسپمر کامنت به دادگاه

اخبار

خرید دامین گوگل دات کام توسط یک آدم معمولی
باورش سخته ولی خب ظاهرا واقعی بوده. یک آدمی رفته تو پنل فروش آدرس های گوگل و اتفاقی سرچ کرده دنبال گوگل دات کام و دیده موجود است و با دادن ۱۲ دلار اونو برای یکسال خریده ((: خبر زرد حساب می شه ولی خب خیلی فانی است!‌ مساله احتمالا مربوط به یک باگ در سیستم فروش دامین گوگل بوده و خب بعد از چند دقیقه هم یک ایمیل دریافت کرده که سفارش شما لغو شد و پولتون برگشت داده می شه. مراحل به شکل اسکرین شات برای شکاکان گذاشته شده.

موقع خرید خونه مواظب اینترنت باشین!

دوستمون کول مارشال تصمیم می گیره یک خونه بی و سر ته در یک جای مهمل بخره تا ارزون در بیاد و چون شغلی وب دولوپر است، قبلش با مخابرات محلی هماهنگ می کنه که آیا می تونه اونجا اینترنت داشته باشه یا نه که جواب می گیره شرکت چارتر امکان دادن اینترنت ۲۴مگ رو در اون مکان داره. خونه رو می خره و می‌سازه و می ره سراغ اینترنت که شرکت چارتر بهش می گه «بله می تونیم بهتون اینترنت ۲۴ مگ بدیم ولی اول باید ۱۱۷هزار دلار هزینه گسترش شبکه به اون محل رو پرداخت کنین!» ((: فعلا آقای مارشال عزیز مجبور شده به یک خط ۳ مگ راضی بشه ولی هی داره در شبکه های اجتماعی سر و صدا راه می ندازه! ما همون سه مگ رو هم بگیریم خیلی خوشحالیم ((: وسط بیابون هم نیستیم.

اسکن کتاب‌ها توسط گوگل جرم نیست

گوگل از سال ۲۰۰۴ که پروژه کتابخونه دیجیتالش رو شروع کرد، بیشتر از ۲۰ میلیون کتاب رو اسکن و به این کتابخانه اضافه کرده. شرکت مدعی است اینکار به نفع مردمه چون می تونن تو کتابها سرچ کنن و مطالب مورد نظر رو پیدا کنن و در عین حال احترام به کپی رایت است چون اجازه نمی ده کل کتاب توسط بازدیدکنندگان خونده بشه. این مساله با یک شکایت کپی رایتی مواجه و متوقف شده بود که خوشبختانه بازم قاضی های فهیم آمریکایی که توی موضوعاتی که رای می دن تخصص دارن به نتیجه خوبی رسیدن. ترکیب سه قاضی نیویورکی روز جمعه اعلام کردن که اسکن کردن کتاب ها و امکان جستجو دادن به مردم یک استفاده منصفانه و عام المنفعه از کتاب است و به همین دلیل ناقض کپی رایت نیست. اونها اضافه کردن که این کار باعث نمی شه کل اثر (هون کتاب) به عموم نشون داده بشه. خانم جینا سیگلیانو سخنگوی گوگل گفته که یکی از پرکاربردترین مصارف کتابخونه دیجیتال گوگل اینه که مردم باهاش کتاب هایی که می خوان بخرن و بخونن رو پیدا می کنن و حتی این سرویس به نفع دارندگان کپی رایت هم هست.

آمازون در این هفته ۱۱۱۴ نفری که توی کامنت هاش اسپم‌های تبلیغاتی به نفع یک برند خاص می ذاشتن رو به دادگاه کشیده؛ در یک سوی دست جمعی. این آدم ها روی سایت فایور با پنج دلار برای هر کسی هر ریویویی که می خواست رو زیر هر چیزی می ذاشتن. آمازون می گه این کار باعث می شد اعتماد مردم به کامنت ها و برند آمازون از بین بره. گفته می شه کامنت های آمازون که از روز اول هم به همین شکل در سایت حضور داشتن سالانه حدود ۲.۷ میلیارد دلار برای این شرکت به ارمغان می یارن. جذابیت ماجرا اینه که آمازون اینقدر شعور داشته که علیه کامنت گذارهای تقلبی شکایت کنه نه علیه فایور که این امکان رو براشون فراهم کرده. ابزارها مجرم نیستن!

در اعماق

هک کیبوردهای بی‌سیم مایکروسافت

معمولا در بخش «در اعماق» از خارج می‌گیم ولی اینبار کار خوب مهدی عسگری رو داریم:‌شنود کیبوردهای بی‌سیم مایکروسافت با یک Arduino

پیش‌بینی صحیح فروش آیفون توسط فوراسکوئر

فوراسکوئر تمام چک این های ما رو داره. حالا فوراسکوئر تعداد همه ورودهای اپ استور در روز لانچ اپل استور رو بررسی کرده و گفته که تعداد فروش ها باید منطقا چیزی بین ۱۳ تا ۱۵ میلیون باشه. آمار رسمی اعلام شده در روزهای بعد ۱۳ میلیون بوده. بامزه است که فوراسکوئر می گه با اینکه هیجان انگیزه ولی سورپریز کننده نیست چون معلومه که اونها این چیزها رو می دونن. حدس فوراسکوئر بر اساس ۳.۶ برابر شدن ترافیک مغازه‌های اپل بوده و همزمان مدعی است که صف ها نسبتا کوتاه بوده اند.

برادر پوتین و تلاش برای شکستن رمز تور

کرملین در سال گذشته قراردادی با یک شرکت بسته تا اون شرکت با دریافت ۵۹هزار دلار، در مورد امکان رخنه به شبکه تور تحقیق کنه. برنده این مناقصه شرکت راستک بوده که در قراردادهای دیگه برای روسیه هلی‌کوپتر و اسلحه می‌سازه. بخش جالب اینه که امسال شرکت راستک پذیرفته به یک سازمان وکالتی ۱۵۰هزار دلار (دو برابر مبلغ اصلی قرارداد) پول بده تا وکلای اون شرکت بتونن در مقابل دولت از راستک دفاع کنن و پروژه تور رو کنسل کنن! ظاهرا تور خیلی امن بوده (: تور می گه در روسیه حدود ۱۷۵هزار کاربر داره.

رباتی که با هوش مصنوعی حرف زدن یاد گرفته، گفته علاقمنده انسان ها رو تو باغ وحش بندازه

android_dick

ربات ها در حال گسترش هستن و ما ربات های بیشتر و بیشتری خواهیم دید. یکی از جدیدترین نمونه‌ها به افتخار نویسنده رمان‌های علمی تخیلی فیلیپ کی. دک، دک نامیده شده و اتفاقا ظاهرش هم شدیدا شبیه اونه! هنر دک اینه که می تونه با هوش مصنوعی ای که داره از گفتگوها یاد بگیره و گفتگوهای هوشمندانه ای رو با انسان‌ها حفظ کنه (توضیح در مورد تست تورینگ). در نمایشی از هوش این ماشین که با خبرنگارهای شبکه PBS انجام می شد، این ربات حتی می تونست به چهره طرف گفتگو هم نگاه کنه و ازش سرنخ‌های برای گفتگو بگیره. سوال همیشگی این بود که «آیا تو فکر می کنی یا طبق یک برنامه عمل می کنی» و جواب دک این بود که «خیلی از آدم ها از من می پرسن که آیا حق انتخاب دارم یا فقط از روی یک برنامه کار می کنم. جواب خوبی که می تونم بدم اینه که عملا همه چیز، حتی حیوانات و انسان هم دارن از روی یک برنامه کار می کنن». این ربات در ضمن اینترنت رو هم سرچ می کنه و این توانایی رو داره که از اینترنت و حتی مکالمه ای که در جریانه، لغت های جدید یاد بگیره. نقطه اوج مکالمه وقتی بود که خبرنگاری پرسید «آیا فکر می کنی ربات ها یک زمانی جهان رو فتح می کنن؟» و جواب شنید که «خب رفیق… سوال های خوبی می پرسی. اما تو دوست منی و من همیشه یادم می مونه کی با من دوست بوده. نگران نباش. من قرار نیست تبدیل به ترمیناتور بشم. همیشه باهاتون مهربون خواهم بود. شما گرم و راحت توی باغ وحش من زندگی خواهید کرد و من به یاد قدیم‌ها می یام شما رو نگاه می کنم».

تقلب فولکس واگن

چیزهایی هستن که در دید آدم های غیر مرتبط خیلی ساده تفسیر می شن ولی حرفه ای ها کلا ماجرا رو چیزی دیگه می بینن. مثلا محکوم شدن دو شاعر فعال در سال ۸۸ به بیست سال زندان و شلاق یا تقلب فولکس واگن توی آزمایش های کیفیت موتور. بعضی ها می گن اشتباه نرم افزاری بوده یا یک تقلب ساده و احتمالا جریمه هایی هم خواهد بود ولی ما داریم به دنیایی در آینده نگاه می کنیم که «متقلب های هوشمند» اطرافمون رو احاطه خواهند کرد. اینترنت چیزها در واقع داره خودش رو به ما نشون می ده. صندوق های رای، بررسی کننده های مصرف انرژی،‌بررسی کننده های کیفیت مواد مصرفی و غیره و غیره در آینده به ما دروغ خواهند گفت. تنها راه بازمتن کردن کل برنامه های مرتبط با این چیزها است. متخصصین امنیت می گن که سال ها است سازمان های امنیتی چنین کارهایی می کنن. ریگان در مورد برنامه موشکی شوروی گفته بود «اعتماد کنین ولی چک هم بکنین» و احتمالا این باید استراتژی دنیای آینده در مورد بررسی کننده های دیجیتال باشه. ما نیاز به شفافیت داریم و دیدن درون چیزها. وقتی همه چیز داره به سمت نرم افزار می ره این تیپ تقلب ها آسونتر می شن و سخت تر برای اثبات و تکرار می کنم که تنها راه کنترل و شفافیت عمومی در مورد برنامه هایی است که قراره زندگی ما رو کنترل کنن.. مثلا صندوق های رای دیجیتال.

تبریک و تقبیح

تبریک و تشکر از صابر راستی کردار برای انتشار فونت آزاد میرزا [کمی توضیح]. تبریکب به مایکروسافت که تصمیم گرفته لینوکس خودش رو بسازه تا بتونه در آژر سرویسی مطمئن بده و تقبیحی برای چرخونندگان کشور چون اخیرا تحقیقی نشون داده که آلودگی نه فقط ازطریق ریه که به شکل مستقیم از طریق پوست هم جذب بدن می شه.

کت کافی نیست، سیستم ادمین‌ها مواظب اسکریپت‌های بدجنس باشن

دوست خوب هکرم میلاد زنگنه نکته جالبی رو بهم یادآوری کرده:

امروز یه چیز جالب دیدم که نشون میده که برنامه هایی مثل cat و … خروجی کاملی از اون چیزی که واقعا درون فایل هست بهمون نشون نمیدن. برای مثال:

escape sequences

دلیل این اتفاق اینه که cat واقعا همه کاراکترها رو به همون شکلی که هستن توی خروجی استاندارد برامون چاپ نمیکنه و وقتی به \033[2A ( یا بطور کلی تر \033[XA )میرسه یکار خاص میکنه. این عبارت باعث میشه وقتی برنامه به این قسمت رسید به تعداد X خط (توی این مثال X دو هست) کرسر رو بالا ببره و باعث بشه X خط بالایی بازنویسی شه و در نتیجه باعث بشه ما گول بخوریم!
چنین چیزی ممکنه خیلی برای افراد عادی با اهمیت جلوه نکنه اما برای ادمین ها و لینوکسی ها که دائم با اسکرپت ها سرو کار دارن مهمه چون با همچین حقه ای ممکنه بدون اینکه بفهمن اسکریپت های مخربی رو اجرا کنن.

حرفش کاملا درسته و اکثرا هم می‌دونیم که Escape Characterها می‌تونن خروجی ترمینال رو تغییر بدن (مثلا رنگی کنن، پاک کنن، جابجا کنن، …) ولی اکثرا توجه نمی‌کنیم که یک اسکریپت در cat ممکنه چیز دیگه ای از اون چیزی که واقعا هست نشون داده بشه. در کل همیشه می‌گیم که بدون فهمیدن هیچ چیزی نباید روی کامپیوترتون اجراش کنین و الان ظاهرا باید بگیم که بعضی اسکریپت ها حتی ممکنه اون چیزی که در لحظات اول به نظر می‌رسن هم نباشن! یک مدیر سیستم مثل گرگ با چشم باز می‌خوابه!

پی.نوشت. ایریکس اشاره کرد که می‌شه از سوییچ A در دستور cat استفاده کرد تا همه کاراکترها اونطوری که واقعا هستن دیده بشن (زندگی از این سوییچ‌ها نداره؟ البته اگر داشت خیلی لوس می شد فضا)

پادکست شماره یک آی تی ویس: گپ با جادی

دوستان خوبم در آی تی ویس شماره اول پادکستشون رو منتشر کردن و خوش شانس بودم که افتخار دادن و با من گپ زدن (: امیدوارم قسمت اولش رو گوش بدین و مشتری بشین. در این پادکست در مورد چیزهای خیلی متنوع گپ می زنیم و فضای نزدیک به شماره چگونه هکر شویم است که توش با بچه‌های آیپالس گپ زده بودم.

رادیو گیک شماره ۵۵ – جادی جاج کن که جاجت…

در این شماره جاج می کنیم. به آدم های بد می گیم بد و به کسانی که اشتباه می کنن می گیم اشتباه می کنن! عقیده سانسور اینجا محترم نیست! می بینیم که آیا باید از هوش مصنوعی ترسید و آیا ربات های تلگرام می تونن گربه های خونگی ما رو به قتل برسونن؟ با رادیو گیک شماره ۵۵ نفس ها رو حبس کنین که تکنولوژی خیلی عمیق تر از شایعه فلان اینچ بودن گوشی بهمانه!

مشترک رادیو گیک بشین